AWS JAPAN APN ブログ

【開催レポート】 ISMAP (イスマップ) 勉強会 (APN セキュリティコンソーシアム・ジャパン)

皆様、こんにちは。
AWS Japan パートナーソリューションアーキテクトの大場 (@takaohba) です。

本日は先日こちらの Blog でご紹介した APN セキュリティコンソーシアム・ジャパンの活動をご紹介したいと思います。
2021/05/26 にこのコンソーシアムの中で ISMAP – 政府情報システムのためのセキュリティ評価制度 -※ に関する勉強会が開催されたので、その内容をご紹介します。

※ Information system Security Management and Assessment Program

皆様は、ISMAP (イスマップ) をご存知でしょうか?

ISMAP 概要と背景

PwC あらた有限責任監査法人の 饒村 吉晴様 より、ISMAP の概要と背景の説明をして頂きました。

2018 年、日本政府による政府機関の情報システムには優先的にクラウドサービスを選択するという「クラウド・バイ・デフォルト原則」の方針の発表以降、クラウドサービスの調達プロセス、選定プロセス(安全性、効率性、技術革新性、柔軟性、可用性などの観点から正しいクラウドを選定すること)が検討され、そして整備されてきています。

特に安全性においては、ISMAP というクラウドサービスの安全性評価の審査・認定プログラムが 2020 年より運用を開始しており、このプログラムで認定を受けたクラウドサービスが安全なクラウドサービスとして登録され、実質的に政府機関の情報システムの調達時の条件となります。

また ISMAP は、政府情報システムの調達のみならず、将来的には重要産業分野 (情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス (地方公共団体を含む)、医療、水道、物流、化学、クレジット及び石油) 等をはじめとする民間においても活用を推奨していくことが期待されています。

米国でも FedRAMP (Federal Risk and Authorization Management Program : 通称フェドランプ) という同様の審査・認定プログラムを 2011 年から開始しており、米国の政府機関のみならず、米国の上場企業の半数以上が、重要な領域には、ここで認定されているクラウドサービスのみを利用するといった動きになっています。

米国政府は、2010 年に「クラウドファースト」のポリシーを発表し、クラウドの推進と制度の対応を図ると同時に、民間の企業との連携やイノベーションの促進も図っています。

※ ISMAP については、こちらもご参考ください。

ISMAP の現状と今後について

ISMAP は政府主導によるクラウド利活用の促進に寄与する制度になります。

運用が開始されたばかりの制度ということもあり、IaaS/PaaS をベースとしたものであること、機密性 2 のみが対象 (政府が定義するすべての機密性区分の情報に対応できていない)、運用評価はこれからというフェーズなため、今後対応すべき課題も残されています。

ISMAP の概要、制度、仕組み、スキームなどの情報は ISMAP サイトに掲載されています。そのポイントについても勉強会の中で紹介されました。
https://www.ismap.go.jp/csm

すでに、ISMAPのクラウドサービスリストには 10 社 14 サービス(本 Blog 執筆時点)が登録されていますが、
2021 年 6 月まで整備評価が行われ、そのタイミングまでに登録されたものは、登録後 1 年 4 か月以内に運用評価の登録を完了させる予定になっています。

また、暫定措置として、既に政府機関がクラウドサービスを利用中の場合、2021 年 9 月 30 日までに当該サービスが ISMAP へ登録されることを前提に利用が継続される点に注意が必要です (暫定措置期間) 。今後政府機関がクラウドサービスを利用予定の場合、クラウドサービスの利用開始から1年以内に ISMAP クラウドサービスリストへ登録されることが前提となります。

ISMAP の管理基準は NISC (内閣サイバーセキュリティセンター) の政府機関統一基準、FedRAMP などの管理基準を組合わせて作成されています。また、既に取得しているその他の認証があっても、ISMAP において該当する管理基準の外部評価が免除されるわけではありません。ISMAP の登録簿への掲載は ISO などの認証取得に比べてハードルの高いレベルとなっています。

ISMAP の基準は ①ガバナンス基準 (18 項目)、 ②マネジメント基準 (64 項目)、 ③管理策基準 (1074項目) の三つから構成されています。ガバナンス基準とマネジメント基準は必須項目で、管理策基準では必須のものは 200 項目ほど定義されて、他はクラウドベンダーが選択する形式となっており、いわゆるプライマリコントロール、セカンダリコントロールの関係となっています。1 つのサービスの傘下に複数のサービスが存在する場合において、内部統制環境が同一の場合はグルーピングして評価を行うことが可能となっています。

また SaaS を提供するベンダーの場合、登録簿に掲載済みのクラウドサービスを SaaS の基盤として利用することで、該当する統制を基盤側の統制に依拠できる仕組みとなっています。

ISMAPのクラウドサービスリストへの登録を継続するには、毎年、監査を受けた上で申請を行う必要があります。
登録に必要となる文書は、クラウドサービス事業者にて用意する言明書や各種申請書、監査主体から受領する監査報告書が必要となります。

発見事項がある場合の登録への判断は、ISMAP の運営側にて行われ、発見事項は、3 ヶ月以内での改善計画が必要となりますが、ガバナンス基準、マネジメント基準においては発見事項があった場合は、ISMAP のクラウドサービスリストへの登録は行えません (発見事項がない場合でも、登録の判断は ISMAP 運営委員会によって行われます)。そのため初年度は、整備評価 → 運用評価 → 報告書提出・登録申請 → 申請 といった一連の手続きの前に、プレ評価を行うケースが多い状況です。以上が PwC あらた有限責任監査法人の 饒村様 による概要説明のサマリーとなります。

質疑応答とディスカッション

PwC 様からの説明のあと、メンバーからの質疑応答とディスカッションを行いました。
ISMAP について事前知識が殆ど無いメンバーの方もいらっしゃいましたが、質疑応答を通じて理解を深めることが出来ました。

おわりに

いかがでしたでしょうか。
本勉強会では、政府によるクラウドサービスの安全性評価の制度である ISMAP(イスマップ)が作成された背景、狙い、効果、またその仕組みや内容について、ご紹介させていただきました。

APN セキュリティコンソーシアム・ジャパンでは、今後もデジタルトランスフォーメーション(DX)等におけるクラウド利活⽤を考えている企業や官公庁のシステムを安全に構築するための知⾒を集めて発信していきます。

現在、⼀緒に活動していただける AWS パートナー 企業を募集しています。
ご応募いただく際はこちらよりお願いいたします。